Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

un rookit ou virus tres malin

shaman32

Par shaman32
dans Analyses et éradication malwares

 Partager

Messages recommandés

shaman32 Junior Member

shaman32

Posté(e)
Posté(e)

Bonjour ,

je voudrais avant tout remercier les concepteurs de ce site et aussi ceux qui y participent

j'ai fais la rencontre d'un rootkit ,qui a pris le controle total de ma machine ,

voici ce que j'ai remarqué:

- winlogon est constemment connecter a cette ip :81.95.146.251

- et j'ai remarque ( je pense que c'est winlogon qui les telecharge) la presence des fichiers vrr5.tmp,vrr10.tmp et autre dans windows\temp

-j'ai installer netlimiet pour verifier ma bande passante, et le rookit a desintegre le service de netlimiter , donc marche pas

 

-et lorsque j'essai d'ouvrir un programme celui -ci me dit que sa table (signature , un truc de ce genre )ou son contenu a été modifiée et que je suis peut etre infecté, il peut devenir donc lui meme un virus ,

 

 

-j'ai 4 partitions , la partion principale avait été infectée par ce meme rookit une 1ere fois , j'ai donc formater , et reinstaller windows , mais dès que j'ai ouvert la session pour la premiere fois sur le nouveau windows installé j'ai remarqué les memes symptomes (je conclus que le virus est sur 1 autre partition peut etre )

-et quand j'essaie d'ouvrir une application legitime qui doit installer un servcie ou un driver pour marcher , il bloque l'acces , par exemple ,lorsque j'ouvre rootkit revealer , ce message apparait "unable to installe rootkit revealer service :une operation d'entrée/sortie avec chevauchement est en cours d'execution

 

-voici mon log hijacthis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 08:20:49, on 21/09/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\NetLimiter 2 Pro\nlsvc.exe

C:\Program Files\SuperCopier2\SuperCopier2.exe

C:\Program Files\utorrent\utorrent.exe

C:\Program Files\NetLimiter 2 Pro\NLClient.exe

C:\Program Files\Gran Paradiso\firefox.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: IDMIEHlprObj Class - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [E-Gold] C:\WINDOWS\TEMP\VRR2.tmp

O4 - HKCU\..\Run: [superCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe

O4 - HKCU\..\Run: [µTorrent] "C:\Program Files\utorrent\utorrent.exe"

O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\utorrent\utorrent.exe"

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm

O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm

O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm

O14 - IERESET.INF: START_PAGE_URL=http://www.google.com

O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Program Files\NetLimiter 2 Pro\nlsvc.exe

O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)

O23 - Service: YYNSOL - Sysinternals - www.sysinternals.com - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\YYNSOL.exe

 

--

End of file - 3343 bytes

 

-------------------------------------

 

 

 

MOn LOG COMBOFIX

 

ComboFix 07-09-19.8 - "Administrateur" 2007-09-21 7:18:33.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1036.18.103 [GMT 1:00]

* Created a new restore point

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\install\install.exe

 

.

((((((((((((((((((((((((((((( Fichiers créés 2007-08-21 to 2007-09-21 ))))))))))))))))))))))))))))))))))))

.

 

2007-09-21 07:19 <REP> d-------- C:\Program Files\Trend Micro

2007-09-21 07:17 128,000 --a------ C:\WINDOWS\NirCmd.exe

2007-09-21 07:17 <REP> d-------- C:\Program Files\Yahoo!

2007-09-21 07:17 <REP> d-------- C:\Program Files\CCleaner

2007-09-21 07:09 <REP> d-------- C:\WINDOWS\LastGood

2007-09-21 07:09 <REP> d-------- C:\Program Files\WordBiz

2007-09-21 07:07 <REP> d-------- C:\Program Files\utorrent

2007-09-21 07:07 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\utorrent

2007-09-21 07:05 <REP> d-------- C:\Program Files\Internet Download Manager

2007-09-21 07:05 <REP> d-------- C:\Program Files\Gran Paradiso

2007-09-21 07:05 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\IDM

2007-09-21 07:05 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\DMCache

2007-09-21 07:04 <REP> d--hs---- C:\WINDOWS\Installer

2007-09-21 07:04 <REP> d-------- C:\Program Files\VideoLAN

2007-09-21 07:04 <REP> d-------- C:\Program Files\SuperCopier2

2007-09-21 07:04 <REP> d-------- C:\Program Files\IrfanView

2007-09-21 07:04 <REP> d-------- C:\Program Files\Fichiers communs\InstallShield

2007-09-21 07:03 <REP> d-------- C:\Program Files\Total Video Converter

2007-09-21 07:03 <REP> d-------- C:\Program Files\The KMPlayer

2007-09-21 07:03 <REP> d-------- C:\Program Files\K-Lite Codec Pack

2007-09-21 07:03 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Real

2007-09-21 07:03 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Apple Computer

2007-09-21 07:03 <REP> d-------- C:\DOCUME~1\ADMINI~1\APPLIC~1\Real

2007-09-21 07:02 <REP> d-------- C:\Program Files\NetLimiter 2 Pro

2007-09-21 07:02 <REP> d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Locktime

2007-09-21 03:31 <REP> d-------- C:\network

2007-09-21 03:31 <REP> d-------- C:\install

2007-09-21 03:30 <REP> d-------- C:\MaxSplit Pro

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-09-21 02:43 --------- d-------- C:\Program Files\microsoft frontpage

2007-09-21 02:41 --------- d-------- C:\Program Files\Services en ligne

2007-09-21 02:40 --------- d-------- C:\Program Files\Fichiers communs\MSSoap

2007-09-21 02:35 --------- d-------- C:\Program Files\SiSLan

2007-09-21 02:33 --------- d-------- C:\Program Files\Fichiers communs\SpeechEngines

2007-09-21 02:33 --------- d-------- C:\Program Files\Fichiers communs\ODBC

2007-07-23 09:39 202160 --a------ C:\WINDOWS\system32\idmmbc.dll

.

 

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMan"="SOUNDMAN.EXE" [2007-05-12 22:17 C:\WINDOWS\SOUNDMAN.EXE]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 13:03]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SuperCopier2.exe"="C:\Program Files\SuperCopier2\SuperCopier2.exe" [2006-07-07 17:45]

"µTorrent"="C:\Program Files\utorrent\utorrent.exe" [2007-09-21 07:08]

"uTorrent"="C:\Program Files\utorrent\utorrent.exe" [2007-09-21 07:08]

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]

"nltide_3"=rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoDesktopCleanupWizard"=1 (0x1)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"=1 (0x1)

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"=1 (0x1)

 

S1 nltdi;nltdi;\??\C:\WINDOWS\System32\drivers\nltdi.sys

S3 FZOMRAKRT;FZOMRAKRT;C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\FZOMRAKRT.exe

 

*Newly Created Service* - BROWSER

*Newly Created Service* - CATCHME

*Newly Created Service* - FZOMRAKRT

*Newly Created Service* - HELPSVC

*Newly Created Service* - IMAPISERVICE

*Newly Created Service* - LANMANSERVER

*Newly Created Service* - MCHINJDRV

*Newly Created Service* - MESSENGER

*Newly Created Service* - MSISERVER

*Newly Created Service* - NDISUIO

*Newly Created Service* - POLICYAGENT

*Newly Created Service* - PROCEXP100

*Newly Created Service* - RASACD

*Newly Created Service* - RASMAN

*Newly Created Service* - RDPCDD

*Newly Created Service* - RDPNP

*Newly Created Service* - SCHEDULE

*Newly Created Service* - SENS

*Newly Created Service* - SHELLHWDETECTION

*Newly Created Service* - SR

*Newly Created Service* - SRSERVICE

*Newly Created Service* - SRV

*Newly Created Service* - SSDPSRV

*Newly Created Service* - TERMSERVICE

*Newly Created Service* - THEMES

*Newly Created Service* - UPLOADMGR

*Newly Created Service* - WUAUSERV

*Newly Created Service* - WZCSVC

.

**************************************************************************

 

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-09-21 07:20:25

Windows 5.1.2600 Service Pack 1 NTFS

 

detected NTDLL code modification:

ZwOpenFile

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2007-09-21 7:21:52

C:\ComboFix-quarantined-files.txt ... 2007-09-21 07:21

.

--- E O F ---

d'ans l'attente d'une possible aide

merci

eclypse Extrem Member

eclypse

Posté(e)
Posté(e) (modifié)

Salut

 

Ton pc n'est pas à jour ...

Tu n'as pas de parefeu ni d'antivirus ?

 

Reouvre hijackthis et coche

O4 - HKLM\..\Run: [E-Gold] C:\WINDOWS\TEMP\VRR2.tmp

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')

O23 - Service: YYNSOL - Sysinternals - www.sysinternals.com - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\YYNSOL.exe

 

Clique sur fix checked

 

 

 

analyseql0.png ATF Cleaner (Atribune)

 

Télécharge ATF Cleaner par Atribune.

  • Redémarre en mode sans échec :
    (En mode sans échec : seul les processus systèmes sont lancés il est donc plus facile de supprimer ce qui est infecté.)
    Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé,
    Il y a un écran noir qui apparaît rapidement, tapote par alternance les touches [F8] et [F5] jusquâ€à l'affichage du menu des options avancées de Windows. Sélectionne "Mode sans échec"et appuyer sur [Entrée].
  • Double-clique ATF-Cleaner.exe afin de lancer le programme.

  • Pour internet explorer
    Sous l'onglet Main, choisis : Select All
    Clique sur le bouton Empty Selected

  • Pour Firefox
    Sous l'onglet Firefox, choisis : Select All
    Clique le bouton Empty Selected
    NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.

  • Clique Exit, du menu prinicipal, afin de fermer le programme.

analyseql0.png CCleaner

 

Télécharge CCleaner et installe le(attention à l'installation pense à decocher l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner). Lance le en double cliquant sur CCleaner.exe

-=Suppression des fichiers temporaires=-

  • Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Retourne ensuite dans la section "Nettoyeur"
  • Fais bien attention de cocher toutes les cases dans la marge gauche (Internet Explorer/Windows Explorer/Système/Avancé)
  • Clique sur Analyse
  • Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
  • Une fois le scan terminé, clique sur Lancer le Nettoyage

-=Suppression des incohérence du registre=-

  • Clique sur l'icône Erreurs situé dans la marge à gauche.
  • Puis clique sur Analyser les erreurs
  • Patiente pendant que CCleaner scanne ton registre.
  • Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
  • Tu peux cliquer ensuite sur Corriger les erreurs.
  • Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrèes cochées pour les restaurer ultérieurement.

logopostedetravailar2.jpg SmitFraudFix (S!Ri)

 

Télécharge SmitFraudFix de "S!Ri"

  • Décompresse la totalité de l'archive sur ton bureau.
  • Double-clique sur smitfraudfix.cmd
  • Sélectionne "1" dans le menu pour créer un rapport des fichiers responsables de l'infection.
  • Sauvegarde ce rapport et postes-le

analyseql0.png AVG AntiSpyware)

 

Télécharges AVG AS

  • Mets-le à jour.
  • Ferme AVG AS. Ne le lance pas tout de suite.
    si tu n'y arrives pas, consultes le tutoriel de Malekal
    ...
  • Lance AVG AS et cliques sur Analyse
  • Puis sur l'onglets Puis l'onglet Paramètres, pour Comment réagir ? sélectionne Actions recommandées puis Quarantaine
  • Reviens a l'onglet Analyse et clique sur Analyse complète du système, le scan démarre
  • Si un fichier infecté a été détecté, en fin d'analyse clique sur Appliquer toutes les actions
  • Clique sur Enregistrer le rapport et pour finir Enregistrer le rapport sous, enregistre sur le Bureau
  • Redémarre en mode normal et poste :
    • le rapport AVG AS
    • un nouveau log hijackthis

analyseql0.png OTMoveIt (Old_Timer)

 

Télécharge OTMoveIt de Old_Timer sur ton Bureau.

  • Double-clique sur OTMoveIt.exe pour le lancer.
  • Assure toi que Unregister Dll's and Ocx's soit coché.
  • Copie-colle dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved

  • C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\YYNSOL.exe
    C:\WINDOWS\TEMP\VRR2.tmp

  • Clique sur MoveIt! pour lancer la suppression.
  • Le résultat apparaitra dans le cadre Results. Copie le résultat.
  • Clique sur Exit pour fermer.
  • Colle le résultat dans ta prochain réponse.

Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas acceptes par Yes. Et poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom [nombres_nombres].log

Modifié par eclypse
shaman32 Junior Member

shaman32

Posté(e)
  • Auteur
Posté(e)

comme dis plus haut j'avais eu une premiere installation qui contenait le sp2 avec , les mise a jour

vu que j'etais insfecté j'ai donc formaté pour avoir une nouvelle installation(celle que j'ai maintenant) mais suis tjrs infecté

 

 

voici les logs

 

 

 

RAPPORT SmitFraudFix

 

SmitFraudFix v2.226

 

Rapport fait à 11:59:34,32, 21/09/2007

Executé à partir de C:\Documents and Settings\Administrateur\Bureau\outils\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Gran Paradiso\firefox.exe

C:\WINDOWS\System32\cmd.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

RAPPORT SmitFraudFix v2.226

 

Rapport fait à 11:59:34,32, 21/09/2007

Executé à partir de C:\Documents and Settings\Administrateur\Bureau\outils\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Gran Paradiso\firefox.exe

C:\WINDOWS\System32\cmd.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

RAPPORT SmitFraudFix v2.226

 

Rapport fait à 11:59:34,32, 21/09/2007

Executé à partir de C:\Documents and Settings\Administrateur\Bureau\outils\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Gran Paradiso\firefox.exe

C:\WINDOWS\System32\cmd.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

SmitFraudFix v2.226

 

Rapport fait à 11:59:34,32, 21/09/2007

Executé à partir de C:\Documents and Settings\Administrateur\Bureau\outils\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Gran Paradiso\firefox.exe

C:\WINDOWS\System32\cmd.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

SmitFraudFix v2.226

 

Rapport fait à 11:59:34,32, 21/09/2007

Executé à partir de C:\Documents and Settings\Administrateur\Bureau\outils\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Gran Paradiso\firefox.exe

C:\WINDOWS\System32\cmd.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

SmitFraudFix v2.226

 

Rapport fait à 11:59:34,32, 21/09/2007

Executé à partir de C:\Documents and Settings\Administrateur\Bureau\outils\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Gran Paradiso\firefox.exe

C:\WINDOWS\System32\cmd.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Bureau

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Ma page d'accueil"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\..\{63900BE6-3CF2-4C93-8877-359FFD9CAE23}: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=213.136.96.2 213.136.93.37 213.136.96.37 192.168.1.1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Fin

 

RAPPORT AVG

 

---------------------------------------------------------

AVG Anti-Spyware - Rapport d'analyse

---------------------------------------------------------

 

+ Créé à: 17:23:10 21/09/2007

 

+ Résultat de l'analyse:

 

 

 

E:\soft\ok to grave\soft\Windows\pcaudit_test firewall.exe -> Adware.PCinetpatrol : Nettoyé et sauvegardé (mise en quarantaine).

G:\RapidShare Pack - May 2007 -14in1- (AIO)\RapidShare Searcher.rar/RapidShare Searcher.exe -> Backdoor.Rbot.auj : Nettoyé et sauvegardé (mise en quarantaine).

E:\Projets\unananted\Make_Your_Copy_of_Windows_100%25_Genuine_in_1_Seconds\Port_RockXP_v4.exe/RockXP4.exe -> Not-A-Virus.PSWTool.Win32.RAS.a : Nettoyé et sauvegardé (mise en quarantaine).

 

 

Fin du rapport

 

RAPPORT HIJACKTHIS

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:25:02, on 21/09/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Safe mode

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Gran Paradiso\firefox.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: IDMIEHlprObj Class - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [superCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe

O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\utorrent\utorrent.exe"

O8 - Extra context menu item: Download All Links with IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm

O8 - Extra context menu item: Download FLV video content with IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm

O8 - Extra context menu item: Download with IDM - C:\Program Files\Internet Download Manager\IEExt.htm

O14 - IERESET.INF: START_PAGE_URL=http://www.google.com

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: RPPINCSAJS - Sysinternals - www.sysinternals.com - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RPPINCSAJS.exe

O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)

 

--

End of file - 2283 bytes

 

 

RAPPORT OT MOVEIT

 

Pour ce qui est de coller File/Folder C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\YYNSOL.exe not found.

File/Folder C:\WINDOWS\TEMP\VRR2.tmp not found

il s'est affiché impossible de creer log car le dossier n'existe pas

 

Created on 09/21/2007 17:26:57

 

 

File/Folder C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\YYNSOL.exe not found.

File/Folder C:\WINDOWS\TEMP\VRR2.tmp not found.

 

Created on 09/21/2007 17:26:57

 

j'attends la suite

shaman32 Junior Member

shaman32

Posté(e)
  • Auteur
Posté(e)

J'ai appris par kapersky que je suis infecte par le virus Virus.Win32.Virut.q

qui a pour role d'infecter tout les exe

tout mes fichiers exe sont donc infectés :P :P :P

 

je voudrais savoir un truc

le fait de prendre un de mes fichiers supposé infecté et le mettre sur un autre ordinateur infecte t'il celui-ci

ou c'est juste sur mon pc qu'il est supposé infecté

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...